Construye la página de aterrizaje para tu oferta de SaaS transaccionable en el mercado comercial.
Este artículo le guía por el proceso de creación de una página de aterrizaje para una aplicación SaaS transaccionable que se venderá en el marketplace comercial de Microsoft.
Importante
Azure Active Directory (Azure AD) Graph está en desuso a partir del 30 de junio de 2023. En el futuro, no estamos realizando más inversiones en Azure AD Graph. Las API de Graph de Azure AD no tienen ningún acuerdo de nivel de servicio ni compromiso de mantenimiento más allá de las correcciones relacionadas con la seguridad. Las inversiones en nuevas características y funcionalidades solo se realizarán en Microsoft Graph.
Retiraremos Azure AD Graph en pasos incrementales para que tenga tiempo suficiente para migrar las aplicaciones a las API de Microsoft Graph. En una fecha posterior que anunciaremos, bloquearemos la creación de aplicaciones nuevas mediante Azure AD Graph.
Para más información, consulte Importante: Retirada de Azure AD Graph y Desuso del módulo de PowerShell.
Información general
Puede considerar la página de aterrizaje como el "vestíbulo" de la oferta de software como servicio (SaaS). Una vez que el comprador se suscribe a una oferta, el marketplace comercial los dirige a la página de aterrizaje para activar y configurar su suscripción a la aplicación SaaS. Piense en esto como un paso de confirmación de pedido que permite al comprador ver lo que ha comprado y confirmar sus detalles de la cuenta. Con Microsoft Entra ID y Microsoft Graph, habilitará el inicio de sesión único (SSO) para el comprador y obtendrá detalles importantes sobre el comprador que puede usar para confirmar y activar su suscripción, incluido su nombre, dirección de correo electrónico y organización.
Dado que la información necesaria para activar la suscripción está limitada y proporcionada por el identificador de Microsoft Entra y Microsoft Graph, no debe haber necesidad de solicitar información que requiera más de consentimiento básico. Si necesita detalles de usuario que requieran consentimiento adicional para la aplicación, debe solicitar esta información una vez completada la activación de la suscripción. Esto permite la activación de suscripciones sin fricción para el comprador y disminuye el riesgo de abandono.
La página de aterrizaje normalmente incluye lo siguiente:
- Presente el nombre de la oferta y el plan adquiridos, así como los términos de facturación.
- Presente los detalles de la cuenta del comprador, incluidos el nombre y apellidos, la organización y el correo electrónico.
- Pida al comprador que confirme o sustituya diferentes detalles de la cuenta.
- Guíe al comprador en los pasos siguientes después de la activación. Por ejemplo, reciba un correo electrónico de bienvenida, administre la suscripción, obtenga soporte técnico o lea la documentación.
Nota
El comprador también se dirigirá a la página de aterrizaje al administrar su suscripción después de la activación. Una vez activada la suscripción del comprador, debe usar el inicio de sesión único (SSO) para permitir que el usuario inicie sesión. Se recomienda dirigir al usuario a un perfil de cuenta o a una página de configuración.
Las secciones siguientes le guiarán por el proceso de creación de una página de aterrizaje:
- Cree un registro de aplicaciones de Microsoft Entra para la página de aterrizaje.
- Usar un ejemplo de código como punto de partida para la aplicación.
- Use dos aplicaciones de Microsoft Entra para mejorar la seguridad en producción.
- Resuelva el token de identificación de compra del marketplace agregado a la URL por el marketplace comercial.
- Lea información de las reclamaciones codificadas en el token de id., recibido de Microsoft Entra ID después de iniciar sesión, que se ha enviado con la solicitud.
- Usar la API de Microsoft Graph para recopilar información adicional, según sea necesario.
Creación de un registro de aplicaciones de Microsoft Entra
El marketplace comercial está totalmente integrado con microsoft Entra ID. Los compradores llegan al marketplace autenticado con una cuenta de Microsoft Entra o una cuenta Microsoft (MSA). Después de la compra, el comprador pasa del marketplace comercial a la dirección URL de la página de aterrizaje para activar y administrar su suscripción de la aplicación SaaS. Debe permitir que el comprador inicie sesión en la aplicación con Microsoft Entra SSO. (La URL de la página de destino se especifica en la página de configuración técnica de la oferta).
Consejo (if the meaning of "Tip" is advice or suggestion)
No incluya el carácter de signo de libra (#) en la dirección URL de la página de aterrizaje. De lo contrario, los clientes no podrán acceder a la página de destino.
El primer paso para usar la identidad es asegurarse de que la página de aterrizaje está registrada como una aplicación de Microsoft Entra. El registro de la aplicación permite usar microsoft Entra ID para autenticar a los usuarios y solicitar acceso a los recursos de usuario. Se puede considerar la definición de la aplicación, que permite al servicio saber cómo emitir tokens a la aplicación en función de la configuración de la aplicación.
Registro de una nueva aplicación mediante Azure Portal
Para empezar, siga las instrucciones para registrar una nueva aplicación. Para permitir que los usuarios de otras empresas visiten la aplicación, debe elegir una de las opciones multiinquilino cuando se le pregunte quién puede usar la aplicación.
Si tiene previsto consultar la API de Microsoft Graph, debe configurar su nueva aplicación para acceder a las API web. Al seleccionar los permisos de API para esta aplicación, el valor predeterminado de User.Read es suficiente para recopilar información básica sobre el comprador para que el proceso de incorporación sea suave y automático. No solicite ningún permiso de API etiquetado necesita el consentimiento del administrador, ya que esto impedirá que todos los usuarios que no sean administradores visiten la página de aterrizaje.
Si necesita permisos elevados como parte del proceso de incorporación o aprovisionamiento, considere la posibilidad de usar la funcionalidad de consentimiento incremental de Microsoft Entra ID para que todos los compradores enviados desde el marketplace puedan interactuar inicialmente con la página de aterrizaje.
Uso de un ejemplo de código como punto de partida
Hemos proporcionado varias aplicaciones de ejemplo que implementan un sitio web sencillo con el inicio de sesión de Microsoft Entra habilitado. Una vez que se registre la aplicación en Microsoft Entra ID, en el panel Inicio rápido se ofrece una lista de tipos de aplicaciones comunes y pilas de desarrollo, como se muestra en la figura 1. Elija la que coincida con su entorno y siga las instrucciones para descargar y configurar.
Figura 1: Panel Inicio rápido en Azure Portal
Después de descargar el código y configurar el entorno de desarrollo, cambie las opciones de configuración de la aplicación para reflejar el identificador de aplicación, el identificador de inquilino y el secreto de cliente que registró en el procedimiento anterior. Tenga en cuenta que los pasos exactos variarán en función del ejemplo que use.
Uso de dos aplicaciones de Microsoft Entra para mejorar la seguridad en producción
En este artículo se presenta una versión simplificada de la arquitectura para implementar una página de aterrizaje para la oferta de SaaS del marketplace comercial. Al ejecutar la página en producción, se recomienda mejorar la seguridad mediante la comunicación con las API de suministro de SaaS solo a través de una aplicación protegida diferente. Esto requiere la creación de dos aplicaciones nuevas:
- En primer lugar, la aplicación de página de aterrizaje multiinquilino descrita hasta este punto, excepto sin la funcionalidad de ponerse en contacto con las API de cumplimiento de SaaS. Esta funcionalidad se descargará en otra aplicación, como se describe a continuación.
- En segundo lugar, una aplicación para asumir las comunicaciones con las API de cumplimiento de SaaS. Esta aplicación debe ser un solo inquilino, solo para que la use la organización y se puede establecer una lista de control de acceso para limitar el acceso a las API solo desde esta aplicación.
Esto permite que la solución funcione en escenarios que observen el principio de separación de preocupaciones. Por ejemplo, la página de inicio usa la primera aplicación de Microsoft Entra registrada para iniciar sesión del usuario. Una vez que el usuario ha iniciado sesión, la página de inicio usa el segundo Microsoft Entra ID para solicitar un token de acceso para llamar a las API de provisión de SaaS y ejecutar la operación de resolución.
Resolución del token de identificación de compra de marketplace
Cuando el comprador es dirigido a tu página de destino, se agrega un token al parámetro de la URL. Este token es diferente del emitido por Microsoft Entra ID y del token de acceso que se usa para la autenticación de servicio a servicio, y se usa como entrada para la llamada de resolución de las API de cumplimiento de SaaS para obtener los detalles de la suscripción. Como sucede con todas las llamadas a las API de cumplimiento de SaaS, la solicitud de servicio a servicio se autenticará con un token de acceso basado en el usuario del id. de aplicación de Microsoft Entra de la aplicación para la autenticación entre servicios de la aplicación.
Nota
En la mayoría de los casos, es preferible realizar esta llamada desde una segunda aplicación de inquilino único. Vea Uso de dos aplicaciones de Microsoft Entra para mejorar la seguridad en producción anteriormente en este artículo.
Solicitud de un token de acceso
Para autenticar su aplicación con las APIs de cumplimiento de SaaS, necesita un token de acceso, que se puede generar mediante una llamada al endpoint de OAuth de Microsoft Entra ID. Vea Procedimiento para obtener el token de autorización del publicador.
Llamada al punto de conexión de resolución
Las API de cumplimiento de SaaS implementan el punto de conexión de resolución, al que se puede llamar para confirmar la validez del token de marketplace y devolver información sobre la suscripción.
Leer información de reclamaciones codificadas en el token de ID
Como parte del flujo de OpenID Connect, coloque el valor de id. de inquilino que recibe en https://login.microsoftonline.com/{tenant}/v2.0. Microsoft Entra ID agrega un token de id. a la solicitud cuando el comprador se envía a la página de aterrizaje. Este token contiene varios fragmentos de información básica que podrían ser útiles en el proceso de activación, incluida la información que se muestra en esta tabla.
| Valor | Descripción |
|---|---|
| aud | Público previsto para este token. En este caso, debe coincidir con el identificador de la aplicación y validarse. |
| nombre_de_usuario_preferido | Nombre de usuario principal del usuario visitante. Puede ser una dirección de correo electrónico, un número de teléfono u otro identificador. |
| Dirección de correo electrónico del usuario. Tenga en cuenta que este campo puede estar vacío. | |
| name | Valor comprensible que identifica el sujeto del token. En este caso, será el nombre del comprador. |
| oid | Identificador en el sistema de identidad de Microsoft que identifica de forma única al usuario entre aplicaciones. Microsoft Graph devolverá este valor como la propiedad ID de una cuenta de usuario determinada. |
| tid | Identificador que representa el cliente de Microsoft Entra del que procede el comprador. En el caso de una identidad de MSA, esta siempre será 9188040d-6c67-4c5b-b112-36a304b66dad. Para obtener más información, consulte la nota de la sección siguiente: Uso de Microsoft Graph API. |
| sub | Identificador que identifica de forma única al usuario en esta aplicación específica. |
Uso de Microsoft Graph API
El token de identificador contiene información básica para identificar al comprador, pero el proceso de activación puede requerir detalles adicionales(como la empresa del comprador) para completar el proceso de incorporación. Utiliza la API de Microsoft Graph para solicitar esta información y evitar forzar al usuario a introducir estos detalles de nuevo. Los permisos estándar User.Read incluyen la siguiente información de forma predeterminada.
| Valor | Descripción |
|---|---|
| displayName | Nombre que se muestra en la libreta de direcciones del usuario. |
| givenName | Nombre del usuario. |
| jobTitle | Puesto del usuario. |
| Dirección SMTP del usuario. | |
| mobilePhone | Número de teléfono móvil principal para el usuario. |
| preferredLanguage | Código ISO 639-1 para el idioma preferido del usuario. |
| surname | Apellidos del usuario. |
Se pueden seleccionar propiedades adicionales, como el nombre de la empresa del usuario o la ubicación del usuario (país o región) para su inclusión en la solicitud. Vea las propiedades de para el tipo de recurso de usuario para obtener más detalles.
La mayoría de las aplicaciones registradas con Microsoft Entra ID conceden permisos delegados para leer la información del usuario del inquilino de Microsoft Entra de su empresa. Cualquier solicitud a Microsoft Graph para esa información debe ir acompañada de un token de acceso para la autenticación. Los pasos específicos para generar el token de acceso dependerán de la pila de tecnología que use, pero el código de ejemplo contendrá un ejemplo. Para más información, vea Obtención de acceso en nombre de un usuario.
Nota
Las cuentas del inquilino de MSA (con el id. de inquilino 9188040d-6c67-4c5b-b112-36a304b66dad) no devolverán más información de la que ya se ha recopilado con el token de id.. Por lo tanto, puede omitir esta llamada a Graph API para estas cuentas.
Contenido relacionado
Tutoriales en vídeo